-
-
-
配置早于 XenDesktop 7 的 VDA 的权限
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
配置适用于早于 XenDesktop® 7 版本的 VDA 的权限
如果用户使用的 VDA 早于 XenDesktop 7,Director 会通过 Windows 远程管理 (WinRM) 从部署中补充实时状态和指标信息。
此外,您还可以使用此过程来配置 WinRM,以便在 XenDesktop 5.6 Feature Pack1 中实现 Remote PC 功能的配合使用。
默认情况下,只有桌面计算机的本地管理员(通常是域管理员和其他特权用户)才具有查看实时数据所需的权限。
有关安装和配置 WinRM 的信息,请参阅 CTX125243。
要使其他用户能够查看实时数据,您必须授予他们权限。例如,假设有多个 Director 用户(HelpDeskUserA、HelpDeskUserB 等)是名为 HelpDeskUsers 的 Active Directory 安全组的成员。该组已在 Studio 中被分配了 Help Desk 管理员角色,从而为他们提供了所需的 Delivery Controller™ 权限。但是,该组还需要访问来自桌面计算机的信息。
要提供必要的访问权限,您可以通过以下两种方式之一配置所需的权限:
- 向 Director 用户授予权限(模拟模型)
- 向 Director 服务授予权限(受信任的子系统模型)
向 Director 用户授予权限(模拟模型)
默认情况下,Director 使用模拟模型:与桌面计算机的 WinRM 连接是使用 Director 用户的身份建立的。因此,用户必须在桌面上具有相应的权限。
您可以通过以下两种方式之一配置这些权限(本文档稍后介绍):
- 将用户添加到桌面计算机上的本地 Administrators 组。
- 授予用户 Director 所需的特定权限。此选项可避免向 Director 用户(例如 HelpDeskUsers 组)授予计算机上的完全管理权限。
向 Director 服务授予权限(受信任的子系统模型)
您无需向 Director 用户授予桌面计算机上的权限,您可以配置 Director 使用服务标识进行 WinRM 连接,并且仅向该服务标识授予适当的权限。
在此模型中,Director 用户本身没有执行 WinRM 调用的权限。他们只能通过 Director 访问数据。
IIS 中的 Director 应用程序池配置为以服务标识运行。默认情况下,这是 APPPOOL\Director 虚拟帐户。建立远程连接时,此帐户显示为服务器的 Active Directory 计算机帐户;例如,MyDomain\DirectorServer$。您必须为此帐户配置适当的权限。
如果部署了多个 Director 网站,您必须将每个 Web 服务器的计算机帐户放入一个配置了适当权限的 Active Directory 安全组中。
要将 Director 配置为使用服务标识进行 WinRM 连接而不是用户标识,请按 高级配置 中所述配置以下设置:
Service.Connector.WinRM.Identity = Service
<!--NeedCopy-->
您可以通过以下两种方式之一配置这些权限:
- 将服务帐户添加到桌面计算机上的本地 Administrators 组。
- 授予服务帐户 Director 所需的特定权限(如下所述)。此选项可避免向服务帐户授予计算机上的完全管理权限。
如何为特定用户或组分配权限
Director 通过 WinRM 从桌面计算机访问所需信息需要以下权限:
- WinRM RootSDDL 中的读取和执行权限
- WMI 命名空间权限:
- root/cimv2 的远程访问权限
- root/citrix 的远程访问权限
- root/RSOP - 远程访问和执行
- 这些本地组的成员资格:
- 性能监视器用户
- 事件日志读取器
用于自动授予这些权限的 ConfigRemoteMgmt.exe 工具,位于安装介质中的 x86\虚拟桌面代理 和 x64\虚拟桌面代理 文件夹内,以及安装介质中的 C:\inetpub\wwwroot\Director\tools 文件夹内。您必须向所有 Director 用户授予权限。
要将权限授予 Active Directory 安全组、用户、计算机帐户,或用于“结束应用程序”和“结束进程”等操作,请从命令提示符下使用以下参数以管理员权限运行该工具:
ConfigRemoteMgmt.exe /configwinrmuser domain\name
<!--NeedCopy-->
其中 name 是安全组、用户或计算机帐户。
为了向用户安全组授予所需的权限:
ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers
<!--NeedCopy-->
要向特定计算机帐户授予权限:
ConfigRemoteMgmt.exe /configwinrmuser domain\DirectorServer$
<!--NeedCopy-->
对于“结束进程”、“结束应用程序”和“影子”操作:
ConfigRemoteMgmt.exe /configwinrmuser domain\name /all
<!--NeedCopy-->
如何向用户组授予权限:
ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers /all
<!--NeedCopy-->
要显示该工具的帮助:
ConfigRemoteMgmt.exe
<!--NeedCopy-->
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.